Показано с 1 по 16 из 16.

Букет вирусов на ноутбуке (заявка № 76393)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    Thumbs up Букет вирусов на ноутбуке

    1. Файлы ".exe из цифр в списке процессов.
    2. ESS 3.0.695 после установки удаляет эти файлы, но сам повреждается после после первой же перезагрузки, и приходится его переустанавливать.
    3. Пока NOD32 функционирует, при подключении к Интернету он блокирует некоторые ссылки. Обновить базы антивируса не получается.
    4. DrWeb тоже что-то удаляет, но странные файлы типа csrsc.exe остаются в памяти.
    5. Компьютер периодически зависает в непредсказуемый момент.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    ОТКЛЮЧИТЕ ВОССТАНОВЛЕНИЕ СИСТЕМЫ !
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\EZ3EBOSKUT\F001.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\pcidump.sys','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\UM5NXX0P\F001[1].exe','');
     QuarantineFile('Explorer.exe    C:\WINDOWS\csrsc.exe','');
     QuarantineFile('C:\WINDOWS\system32\scvhost.exe','');
     QuarantineFile('C:\WINDOWS\system32\anitsvstart.dll','');
     QuarantineFile('C:\WINDOWS\system32\RbmutvC.dll','');
     QuarantineFile('C:\WINDOWS\system32\BrZPoUlsGvb.dll','');
     QuarantineFile('C:\WINDOWS\System32\logon.scr','');
     StopService('acpi24');
     StopService('frrd');
     DeleteService('acpi24Drv');
     QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
     DeleteService('vsr');
     QuarantineFile('C:\WINDOWS\system32\WMAGWRMEJC\eoo1.exe','');
     DeleteService('vsfd');
     QuarantineFile('C:\WINDOWS\system32\WMAGWRMEJC\F001.exe','');
     DeleteService('vsd');
     QuarantineFile('C:\WINDOWS\system32\WMAGWRMEJC\J002.exe','');
     DeleteService('VMservices');
     QuarantineFile('C:\WINDOWS\system32\panp.exe','');
     DeleteService('acpi24');
     QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
     DeleteService('frrd');
     QuarantineFile('C:\WINDOWS\system32\z\B7878.exe','');
     QuarantineFile('c:\windows\system32\brzpoulsgvb.dll','');
     QuarantineFile('c:\windows\system32\anitsvstart.dll','');
     QuarantineFile('c:\windows\system32\gctwimaxserviced.exe','');
     QuarantineFile('c:\windows\csrsc.exe','');
     TerminateProcessByName('c:\windows\csrsc.exe');
     QuarantineFile('c:\windows\system32\z\b7878.exe','');
     TerminateProcessByName('c:\windows\system32\z\b7878.exe');
     QuarantineFile('c:\windows\system32\77734.exe','');
     TerminateProcessByName('c:\windows\system32\77734.exe');
     DeleteFile('c:\windows\system32\77734.exe');
     DeleteFile('c:\windows\system32\z\b7878.exe');
     DeleteFile('c:\windows\csrsc.exe');
     DeleteFile('c:\windows\system32\anitsvstart.dll');
     DeleteFile('c:\windows\system32\brzpoulsgvb.dll');
     DeleteFile('C:\WINDOWS\system32\z\B7878.exe');
     DeleteFile('C:\WINDOWS\system32\acpi24.exe');
     DeleteFile('C:\WINDOWS\system32\panp.exe');
     DeleteFile('C:\WINDOWS\system32\WMAGWRMEJC\J002.exe');
     DeleteFile('C:\WINDOWS\system32\WMAGWRMEJC\eoo1.exe');
     DeleteFile('C:\WINDOWS\system32\acpi24.sys');
     DeleteFile('C:\WINDOWS\system32\BrZPoUlsGvb.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ufad-dns60\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\RbmutvC.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\anitsvstart.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AniSrv\Parameters','ServiceDll');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\UM5NXX0P\F001[1].exe');
     DeleteFile('C:\WINDOWS\system32\drivers\pcidump.sys');
     DeleteFile('C:\WINDOWS\system32\EZ3EBOSKUT\F001.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU', 2, 2, true);
     RebootWindows(true);
    end.
    После перезагрузки выполните второй скрипт
    Код:
    Begin
    CreateQurantineArchive('C:\quarantine.zip');
    End.
    Закачайте полученный карантин по красной ссылке вверху. Повторите логи
    The Truth is Out There

  4. #3
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    Новые логи

    Извините, протупил с отключением восстановления системы.
    После применения основного скрипта "ехе-файл с цифрами" в списке процессов опять появился.
    Карантин закачал, получили?
    Новые логи во вложениях.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    Nod32 слетает

    И еще, Nod32 по-прежнему "слетает" после перезагрузки, а в трэе не появляется "регулятор аудио" и "настройка аудио".
    Проверка DrWeb удаляет кучу "цифровых" ехешников в C:\Windows\System32 с Trojan DownLoader1.1999, еще и какой-то fusou.exe там появился.
    Последний раз редактировалось popusta; 17.04.2010 в 21:46.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    ComboFix

    Лог во вложении.
    Система вроде ожила - сказала об отключенном обновлении, в трэе прорисовались все значки.
    Попробую снова установить Нод32...
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Лог virusinfo_syscheck повторите
    The Truth is Out There

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\msn281.exe
    c:\windows\system32\svstn.exe
    c:\windows\system32\YbTMadAWBGMVIA.dll
    c:\windows\system32\kSUmGHphvgMNVGV.dll
    c:\windows\system32\UwXsJknqGiHYq.dll
    c:\windows\system32\anitsclib.dll
    c:\windows\system32\WMAGWRMEJC\F001.exe
    
    Driver::
    vsfd
    AniSrv
    
    Folder::
    c:\windows\system32\EZ3EBOSKUT
    c:\windows\system32\JOJKKG2ENK
    c:\windows\system32\1T6K0JT7QN
    c:\windows\system32\WMAGWRMEJC
    c:\windows\system32\z
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "AniSrv"=-
    "Kernels"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    Последние логи

    Последние логи во вложении.
    Система вроде работает устойчиво.
    Nod32 установился и не слетает - попробую обновить его базы.
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Скрипт для ComboFix из сообщения №8 почему не выполнили?
    Выполните в обязательном порядке
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    ComboFix

    Цитата Сообщение от thyrex Посмотреть сообщение
    Скрипт для ComboFix из сообщения №8 почему не выполнили?
    Выполните в обязательном порядке
    Как же не выполнил? Как раз выполнил. Так всё красиво наложилось и сработало В сообщении №10 я прикреплял именно новый лог, который создан в 23:01:34:
    "Command switches used :: c:\documents and settings\Администратор\Рабочий стол\CFScript.txt" - у меня все хода записаны ))

    Предыдущий лог был в 21:50.
    Уточните, где моя ошибка )
    Последний раз редактировалось popusta; 18.04.2010 в 00:37.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Повторите еще раз рекомендацию из сообщения №8
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    ComboFix

    Цитата Сообщение от thyrex Посмотреть сообщение
    Повторите еще раз рекомендацию из сообщения №8
    Кажется, получилось.
    Вложения Вложения

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Вот теперь другое дело

    Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Пофиксите в HiJack
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
    Обновите JavaRE

    Если проблем не осталось, выписываем Вас из лазарета
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    12
    Вес репутации
    26

    Счастливый конец?

    Мыло отправил. Получилось приличное вложение - порядка 5 Мб.

    ComboFix удалил, в HJ строку пофиксил, Java обновил.

    Всё работает, спасибо!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 54
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\um5nxx0p\f001[1].exe - Backdoor.Win32.Krafcot.ov ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
      2. c:\windows\csrsc.exe - Trojan-Downloader.Win32.Agent.dldf ( DrWEB: Trojan.DownLoad1.54291, BitDefender: Trojan.Generic.3653357, AVAST4: Win32:Malware-gen )
      3. c:\windows\system32\anitsvstart.dll - Trojan-Downloader.Win32.Agent.dljj ( DrWEB: Trojan.DownLoader1.5889, BitDefender: DeepScan:Generic.Peed.A4838A1A )
      4. c:\windows\system32\brzpoulsgvb.dll - Trojan.Win32.Veslorn.uw
      5. c:\windows\system32\ez3eboskut\f001.exe - Backdoor.Win32.Krafcot.ov ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
      6. c:\windows\system32\scvhost.exe - Trojan.Win32.KillAV.gca ( BitDefender: Trojan.Generic.KD.7039, AVAST4: Win32:Malware-gen )
      7. c:\windows\system32\z\b7878.exe - Trojan.Win32.Scar.bznj ( DrWEB: Trojan.DownLoad1.53651, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )
      8. c:\windows\system32\77734.exe - Trojan-Downloader.Win32.Geral.pzo ( DrWEB: Trojan.DownLoader1.1999, BitDefender: Trojan.Downloader.Agent.ZAW, AVAST4: Win32:Agent-AEVX [Trj] )


  • Уважаемый(ая) popusta, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Букет вирусов
      От brutal_ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.05.2012, 21:34
    2. Букет вирусов
      От Ulja в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.07.2010, 20:15
    3. В ноутбуке много вирусов
      От vlad_1976 в разделе Помогите!
      Ответов: 58
      Последнее сообщение: 06.05.2009, 15:13
    4. букет вирусов
      От Artur Z. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 09:01
    5. Букет из 5 вирусов
      От vvb в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 31.01.2009, 13:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01520 seconds with 22 queries